Come dimostra il nostro recente studio specialistico, nonostante il crollo del prezzo di molte criptovalute e la decisione di una delle più grandi criptovalute, Ethereum, di abbandonare il mining, i miner dannosi continuano a rappresentare una seria minaccia per le aziende, ed in particolare per le società che usano infrastrutture cloud. Oggi analizziamo i pericoli del mining e parleremo di come proteggere le risorse informatiche aziendali da queste minacce.
Il mining è morto! Lunga vita al mining!
Molti avevano previsto la fine della “febbre del mining”, in particolare dopo l’annuncio di Ethereum di voler passare dalla conferma delle transazioni tramite il metodo proof-of-work al modello proof-of-stake. Il proof-of-work richiede una grande potenza di calcolo, mentre il proof-of-stake ha bisogno di un numero significativamente inferiore di partecipanti e di risorse per confermare una transazione, essendo mille volte più efficiente dal punto di vista computazionale. L’abbandono del concetto proof-of-work, in teoria, avrebbe potuto causare un calo significativo della popolarità del mining.
Il tanto atteso passaggio è avvenuto il 15 settembre e, in parte, ha effettivamente danneggiato la popolarità del mining. Ad esempio, il prezzo delle schede video utilizzate per il mining di Etherium ha subito un calo drastico, invadendo il mercato secondario. Coloro che erano impegnati nel mining legale hanno iniziato ad occuparsi del mining di altre criptovalute o a vendere i loro sistemi di calcolo o a cercare di dargli un altro uso. Tuttavia, questo calo di attività non si applica agli hacker che praticano il mining a spese altrui.
Il fatto è che non si sono mai concentrati sul mining di Etherium, che è solo la terza moneta più popolare. Hanno invece preferito minare Monero, che garantisce il totale anonimato delle transazioni. Per produrre Monero è tuttora necessario il mining, ma non le schede video. Questa criptovaluta viene minata molto bene su CPU normali che, a differenza delle potenti GPU, sono presenti in qualsiasi computer. Quelle più potenti funzionano nei server e, naturalmente, attirano soprattutto i cybercriminali.
Come i miner minano le aziende
Abbiamo già parlato dei problemi che i miner possono causare all’utente medio:
- bollette elettriche elevate;
- prestazioni lente causate dall’elevato utilizzo della CPU e della scheda video.
A prima vista sembrerebbe una tempesta in un bicchier d’acqua: molti tengono il computer sempre acceso e la maggior parte degli utenti può sopportare i rallentamenti. Tuttavia, per le aziende le minacce sono ben più gravi. Oltre a quanto già detto, i cryptominer indesiderati possono portare a:
- Accelerazione dell’usura delle apparecchiature, con conseguenti guasti prematuri (anche questo vale per gli utenti privati, ma per le aziende le conseguenze sono più serie).
- Aumento del traffico sui server aziendali che, proprio come un attacco DDOS, può mettere offline i servizi; l’indisponibilità o il funzionamento instabile dei servizi comporta perdite considerevoli.
- Aumento dei costi di manutenzione dell’infrastruttura cloud. Anche questo non è uno scherzo: quando alla fine del mese Amazon, Google o Microsoft aggiungono uno zero al conto, il bilancio dell’azienda ne risente. Secondo un report di Google, nell’86% dei casi di compromissione ben riuscita di un account di Google Cloud Platform, gli hacker hanno installato dei miner. lnoltre, i costi del mining di criptovalute nell’infrastruttura cloud sono in media 53 volte superiori al guadagno, il che, ovviamente, non ferma i criminali informatici, poiché pagano loro le spese.
I miner seminano il terrore tra i provider di infrastrutture
Gli attacchi dei miner sono una seria minaccia per le aziende che non usano solo infrastrutture cloud, ma forniscono ai clienti servizi basati sul cloud di noti provider, soprattutto se forniscono servizi IaaS (Infrastructure-as-a-Service) o PaaS (Platform-as-a-Service).
La differenza tra queste aziende e le altre è che devono preoccuparsi non solo dei miner dannosi che penetrano segretamente nell’infrastruttura, ma anche di quelli normali e legittimi.
Se un’azienda fornisce un’infrastruttura o una piattaforma come servizio, i suoi clienti hanno certa libertà nell’utilizzo di tale infrastruttura o piattaforma; in genere possono usarla come vogliono, anche per eseguire varie applicazioni, tra cui i miner.
Non è raro quindi che i criminali informatici creino diversi account su questi servizi in un colpo solo e li utilizzino per eseguire i miner senza permetter loro di consumare più risorse di quelle fornite dal servizio con account gratuito. Un attacco di questo tipo, che coinvolge centinaia di account, può avere un impatto mostruoso sui server, mettendo in ginocchio il servizio e aumentando in modo massiccio le spese dell’azienda a livello di infrastruttura. Inoltre, per un fornitore di infrastrutture è più difficile rilevare un attacco di questo tipo rispetto, ad esempio, a un’azienda SaaS, poiché non può sempre vedere tutti i processi eseguiti dai clienti a causa della propria politica sulla privacy.
Come le aziende possono fronteggiare i miner
È evidente che le aziende non possono semplicemente chiudere gli occhi di fronte alla minaccia del mining. L’ideale sarebbe prevenirlo, ma se non è possibile, è necessario individuarlo e bloccarlo il prima possibile.
Secondo alcuni dati offerti da Google, la maggior parte dei casi di compromissione dei server è dovuta a password deboli e a un controllo degli accessi insufficiente. Pertanto, l’attenzione deve essere rivolta all’accesso alle risorse informatiche:
- Impostare dappertutto password forti e uniche.
- Attivare sempre l’autenticazione a due fattori per accedere alle risorse dei fornitori cloud (se la password è stata violata o forzata con un attacco di forza bruta, gli hacker non otterranno il controllo dell’account senza il secondo fattore).
- Limitare l’accesso alla gestione dell’infrastruttura: meno dipendenti hanno privilegi di accesso elevati, meno è probabile che l’accesso venga compromesso.
- Utilizzare soluzioni di sicurezza capaci di rilevare le attività sospette, sia sui dispositivi fisici, che sulle macchine virtuali.
Inoltre, oltre a quanto sopra, i provider IaaS e PaaS dovrebbero:
- Essere in grado di monitorare l’attività degli utenti in un modo o nell’altro; se non è possibile monitorare i processi attivi a livello di macchina virtuale (impedendo l’esecuzione di script identici da parte di utenti diversi), è bene assicurarsi almeno che non venga utilizzato uno stesso repository da più account.
- Disporre di un sistema di allerta ben calibrato e capace di rilevare le attività atipiche, nonché coinvolgere esperti in grado di rispondere rapidamente.
- Prestare maggiore attenzione alla tempestiva correzione delle vulnerabilità nel software che gestisce l’infrastruttura o la piattaforma, poiché gli hacker possono sfruttarle per penetrare e installare i miner.